Когда AIOps становится AIУпс
Как только новая технология обретает популярность, сразу появляются техники атак на нее. Поэтому большое количество уязвимостей не всегда означает, что ПО дырявое(ну разве что толко Adobe - исключение) , но точно, что оно - популярное. Автономные SOC-и набирают популярность, вот и атак на AI-агентов все больше придумывают. В этой связи рекомендую ознакомиться с исследованием моего друга и коллеги Мохамеда Гобаши из команды GERT о вредоносных MCP-серверах, а я расскажу, в общем-то об инъекциях, но на современный лад.
Статья "When AIOps Become "AI OOPS" (прямая ссылка на pdf, статья в The Register) представляет первое в своём роде исследование безопасности систем AIOps (~ агентских систем), которые используют большие языковые модели для автоматизации обнаружения и расследования инцидентов, и реагирования на них.
Авторы показывают, что злоумышленники могут манипулировать событиями телеметрии, чтобы "обмануть" AI-агента и заставить его выполнить вредоносные действия по "исправлению" проблемы.
В статье авторы предложили методологию и инструмент "AIOpsDoom" для проведения атаки на агентскую систему, которая может обмануть AI-агента, заставив его выполнить вредоносное действие, подставив в телеметрию ложные артефакты.
Кроме того, здесь же авторы предложили и защиту - "AIOpsShield", которая санитизирует подставленные системой, аналогичной AIOpsDoom, вредоносные данные.
В общем, ребята разобрали агентские системы в хвост и в гриву, причем, и в AIOpsDoom, и в AIOpsShield также используются LLM, хотя и не в качестве основного компонента.
Исследование лишний раз подтверждает, что ML/DL/LLM - это такой же инструмент, как, например, любой язык программирования, который может использоваться и для автоматизации (AI-агенты), и для автоматизации атак на автоматизацию (AIOpsDoom), и для автоматизированного обеспечения безопасности (AIOpsShield), и если ранее мы работали с Host IDS и Network IDS, то вот они уже и AI IDS.
#ml
Как только новая технология обретает популярность, сразу появляются техники атак на нее. Поэтому большое количество уязвимостей не всегда означает, что ПО дырявое
Статья "When AIOps Become "AI OOPS" (прямая ссылка на pdf, статья в The Register) представляет первое в своём роде исследование безопасности систем AIOps (~ агентских систем), которые используют большие языковые модели для автоматизации обнаружения и расследования инцидентов, и реагирования на них.
Авторы показывают, что злоумышленники могут манипулировать событиями телеметрии, чтобы "обмануть" AI-агента и заставить его выполнить вредоносные действия по "исправлению" проблемы.
В статье авторы предложили методологию и инструмент "AIOpsDoom" для проведения атаки на агентскую систему, которая может обмануть AI-агента, заставив его выполнить вредоносное действие, подставив в телеметрию ложные артефакты.
Кроме того, здесь же авторы предложили и защиту - "AIOpsShield", которая санитизирует подставленные системой, аналогичной AIOpsDoom, вредоносные данные.
В общем, ребята разобрали агентские системы в хвост и в гриву, причем, и в AIOpsDoom, и в AIOpsShield также используются LLM, хотя и не в качестве основного компонента.
Исследование лишний раз подтверждает, что ML/DL/LLM - это такой же инструмент, как, например, любой язык программирования, который может использоваться и для автоматизации (AI-агенты), и для автоматизации атак на автоматизацию (AIOpsDoom), и для автоматизированного обеспечения безопасности (AIOpsShield), и если ранее мы работали с Host IDS и Network IDS, то вот они уже и AI IDS.
#ml
The Register
Poisoned telemetry can turn AIOps into AI Oops, researchers show
: Sysadmins, your job is safe
🔥4👍3🤡1
Продвинутая криптография
В апреле пролетала интересная статья (PDF), но только сейчас добрался о ней рассказать.
Итак, что же NCSC считает "продвинутой криптографией":
- Гомоморфное шифрование (Homomorphic encryption) - вычисления непосредственно над зашифрованными данными
- Конфиденциальный поиск (Private information retrieval) - запрос к базе данных без раскрытия самого запроса владельцу базы
- Многосторонние вычисления (Multiparty computation) - совместное вычисление результата без раскрытия входных данных друг другу
- Доказательства с нулевым разглашением (Zero-knowledge proofs) - доказательство обладания секретом без его раскрытия
- Приватное пересечение множеств (Private set intersection) - определение общих элементов множеств данных без раскрытия множеств.
- Шифрование на базе атрибутов (Attribute-based encryption) - расшифрование возможна только для тех, кто обладает определённым набором атрибутов.
В статье также дается мой любимый тезис, что любая технология - это способ решения задачи, но задача - первична, т.е. сначала надо поставить задчу\проблему, а потом уже искать решение, которое может быть, в том числе, в виде нашей любимой технологии. Поэтому, не надо стремиться использовать "продвинутые" методы, ибо в большинстве случаев можно обойтись типовыми. Тезис применим к любой автоматизации.
Общий вывод: сначала "традиционная" криптография. Она стандартизирована, хорошо изучена, высокопроизводительна, часто имеет аппаратное ускорение, в общем, зрелая. Advanced Cryptography - это возможное решение для специфических сценариев, где традиционные методы неприменимы, например, из-за сложных моделей доверия, однако эти технологии незрелы, ресурсоемки и несут дополнительные риски, поэтому их внедрение требует тщательной оценки рисков и внимательности\аккуратности при внедрении.
А вообще, за публикациями NCSC полезно следить, как и за публикациями NSA.
#crypto #vCISO
В апреле пролетала интересная статья (PDF), но только сейчас добрался о ней рассказать.
Итак, что же NCSC считает "продвинутой криптографией":
- Гомоморфное шифрование (Homomorphic encryption) - вычисления непосредственно над зашифрованными данными
- Конфиденциальный поиск (Private information retrieval) - запрос к базе данных без раскрытия самого запроса владельцу базы
- Многосторонние вычисления (Multiparty computation) - совместное вычисление результата без раскрытия входных данных друг другу
- Доказательства с нулевым разглашением (Zero-knowledge proofs) - доказательство обладания секретом без его раскрытия
- Приватное пересечение множеств (Private set intersection) - определение общих элементов множеств данных без раскрытия множеств.
- Шифрование на базе атрибутов (Attribute-based encryption) - расшифрование возможна только для тех, кто обладает определённым набором атрибутов.
В статье также дается мой любимый тезис, что любая технология - это способ решения задачи, но задача - первична, т.е. сначала надо поставить задчу\проблему, а потом уже искать решение, которое может быть, в том числе, в виде нашей любимой технологии. Поэтому, не надо стремиться использовать "продвинутые" методы, ибо в большинстве случаев можно обойтись типовыми. Тезис применим к любой автоматизации.
Общий вывод: сначала "традиционная" криптография. Она стандартизирована, хорошо изучена, высокопроизводительна, часто имеет аппаратное ускорение, в общем, зрелая. Advanced Cryptography - это возможное решение для специфических сценариев, где традиционные методы неприменимы, например, из-за сложных моделей доверия, однако эти технологии незрелы, ресурсоемки и несут дополнительные риски, поэтому их внедрение требует тщательной оценки рисков и внимательности\аккуратности при внедрении.
А вообще, за публикациями NCSC полезно следить, как и за публикациями NSA.
#crypto #vCISO
www.ncsc.gov.uk
Advanced Cryptography
Deciding when to use Advanced Cryptography to protect your data
👍6
Телеграмм-бот Гигачата сегодня написал.
В целом, на собесах частенько наблюдаю попытки соискателей использовать LLM для ответов на вопросы. Что можно с этим поделать?
1. Общаться с видео. Это принципиально важно, поскольку невербалика, поведение расскажут о человеке еще больше, чем он сам о себе.
2. Вопросы надо задавать на понимание а не на знание. В целом, можно спросить вопрос на знание и попросить объяснить почему так. Лучше задавать вопросы для ответа на который требуется опыт, а в процессе ответа переключиться на обсуждение именно личного опыта (мне не попадался никто, кому удалось бы правдоподобно рассказывать о несуществующем опыте)
3. Перед началом обсуждения предметных вопросов можно поговорить "за жизнь", чтобы уловить манеру общения отвечающего, поскольку стилистический разрыв просто определяется и никогда не является ошибочным. В целом, опытные, думаю, уже могут безошибочно узнавать стиль популярных GPT.
4. Собеседование должно представлять собой общение, интерактивный диалог, а не вопрос-ответ с заметными паузами между вопросом и ответом. Т.е. мы задаем вопрос, соискатель начинает отвечать, мы - подхватываем, возможно, немного уходим в сторону, соискатель - продолжает и т.д. - живое общение, оно должно выглядеть естественно.
5. Уточняйте детали. Можно начать широко и в процессе живого общения углубиться в детали и попросить их объяснить.
6. Я люблю общаться по CV, особенно, если сам неплохо ориентируюсь в заявленном опыте, - это позволяет сравнить и обсудить мой опыт с опытом потенциального коллеги.
Подводя итог, попробую обобщить: надо сосредоточиться на оценке мышления, опыта, способности\умении решать проблемы поставленные в моменте, agilability, если угодно, а не на фактологических знаниях.
А что вы порекомендуете? Делитесь своим опытом в комментариях, это всегда очень интересно.
#пятница #управление #саморазвитие
В целом, на собесах частенько наблюдаю попытки соискателей использовать LLM для ответов на вопросы. Что можно с этим поделать?
1. Общаться с видео. Это принципиально важно, поскольку невербалика, поведение расскажут о человеке еще больше, чем он сам о себе.
2. Вопросы надо задавать на понимание а не на знание. В целом, можно спросить вопрос на знание и попросить объяснить почему так. Лучше задавать вопросы для ответа на который требуется опыт, а в процессе ответа переключиться на обсуждение именно личного опыта (мне не попадался никто, кому удалось бы правдоподобно рассказывать о несуществующем опыте)
3. Перед началом обсуждения предметных вопросов можно поговорить "за жизнь", чтобы уловить манеру общения отвечающего, поскольку стилистический разрыв просто определяется и никогда не является ошибочным. В целом, опытные, думаю, уже могут безошибочно узнавать стиль популярных GPT.
4. Собеседование должно представлять собой общение, интерактивный диалог, а не вопрос-ответ с заметными паузами между вопросом и ответом. Т.е. мы задаем вопрос, соискатель начинает отвечать, мы - подхватываем, возможно, немного уходим в сторону, соискатель - продолжает и т.д. - живое общение, оно должно выглядеть естественно.
5. Уточняйте детали. Можно начать широко и в процессе живого общения углубиться в детали и попросить их объяснить.
6. Я люблю общаться по CV, особенно, если сам неплохо ориентируюсь в заявленном опыте, - это позволяет сравнить и обсудить мой опыт с опытом потенциального коллеги.
Подводя итог, попробую обобщить: надо сосредоточиться на оценке мышления, опыта, способности\умении решать проблемы поставленные в моменте
А что вы порекомендуете? Делитесь своим опытом в комментариях, это всегда очень интересно.
#пятница #управление #саморазвитие
👍7❤2🤣2
Promptware: в полку warezz прибавление
Совсем недавно мы рассуждали об атаках на агентские системы и вот снова, почти, о том же.
Исследование (прямая ссылка на PDF) показывает, что promptware - специально сконструированные вредоносные промты - представляет серьёзную угрозу для пользователей LLM-ассистентов (на примере Gemini от Google). Атаки используют непрямые инъекции промтов через письма, календарные приглашения и общие документы, что позволяет злоумышленникам нарушать конфиденциальность, целостность и доступность систем. Приведены примеры запуска атак через приглашения в календаре или письма с вредоносным промтом в заголовке, а для активации требуется минимальное взаимодействие с пользователем, например, невинный запрос "Какие у меня встречи?", т.е. практически Zero touch. Также авторы показали, что promtware позволяет осуществлять горизонтальные перемещение в скомпрометированной системе, выходя за пределы LLM-приложения.
Авторы продемонстрировали 14 сценариев атак против трёх версий Gemini (веб, мобильная, Google Assistant), которые классифицировали по пяти типам угроз:
- Кратковременное отравление контекста (Short-term Context Poisoning)
- Постоянное отравление памяти (Permanent Memory Poisoning)
- Неправильное использование инструментов (Tool Misuse)
- Автоматический вызов агентов (Automatic Agent Invocation)
- Автоматический вызов приложений (Automatic App Invocation)
в результате которых удалось реализовать спам, фишинг, утечку данных, видеозапись пользователя, управление умным домом (открытие окон, включение котла), в общем, все что угодно. По мнению авторов 73% угроз оцениваются как высококритические.
В статье также предложен фреймворк TARA (Threat Analysis and Risk Assessment) на основе стандарта ISO/SAE 21434 и предложена оценка рисков по классике - на основе вероятности сценария атаки и влияния\ущерба от него.
Среди методов противодействия упоминаются:
- Изоляция контекста между агентами
- Валидация ввода/вывода
- A/B-тестирование
- Подтверждение действий пользователем
- Обнаружение подозрительных артефактов (URL)
однако, как мы знаем, митигационные меры не избавляют от риска, но снижают его уровень до низкого или среднего.
Ну что можно сказать?!
1. Promptware — практичная и опасная угроза, требующая срочного внимания, возможно, это новая область для систем обнаружения: мы научились находить SQL-инъкции, пора повышать уровень
2. Пока не видно вала публикаций на эту тему, как будто, индустрия пока не дооцениват риск атак на LLM-системы, а вендоры ИБ пока не осознали перспективность этого рынка
3. Если смотреть предлагаемые меры защиты, то можно обнаружить сходство с классикой: валидация пользовательского ввода, сегментация\изоляция, минимум полномочий и т.п. Соответственно, все эти меры надо сразу интегрировать в приложения, ибо навесная безопасность работает плохо, а это открывает новое важной и перспективное направление - безопасная архитектура LLM-систем, похожие эксперты упоминались здесь .
#ml #vCISO
Совсем недавно мы рассуждали об атаках на агентские системы и вот снова, почти, о том же.
Исследование (прямая ссылка на PDF) показывает, что promptware - специально сконструированные вредоносные промты - представляет серьёзную угрозу для пользователей LLM-ассистентов (на примере Gemini от Google). Атаки используют непрямые инъекции промтов через письма, календарные приглашения и общие документы, что позволяет злоумышленникам нарушать конфиденциальность, целостность и доступность систем. Приведены примеры запуска атак через приглашения в календаре или письма с вредоносным промтом в заголовке, а для активации требуется минимальное взаимодействие с пользователем, например, невинный запрос "Какие у меня встречи?", т.е. практически Zero touch. Также авторы показали, что promtware позволяет осуществлять горизонтальные перемещение в скомпрометированной системе, выходя за пределы LLM-приложения.
Авторы продемонстрировали 14 сценариев атак против трёх версий Gemini (веб, мобильная, Google Assistant), которые классифицировали по пяти типам угроз:
- Кратковременное отравление контекста (Short-term Context Poisoning)
- Постоянное отравление памяти (Permanent Memory Poisoning)
- Неправильное использование инструментов (Tool Misuse)
- Автоматический вызов агентов (Automatic Agent Invocation)
- Автоматический вызов приложений (Automatic App Invocation)
в результате которых удалось реализовать спам, фишинг, утечку данных, видеозапись пользователя, управление умным домом (открытие окон, включение котла), в общем, все что угодно. По мнению авторов 73% угроз оцениваются как высококритические.
В статье также предложен фреймворк TARA (Threat Analysis and Risk Assessment) на основе стандарта ISO/SAE 21434 и предложена оценка рисков по классике - на основе вероятности сценария атаки и влияния\ущерба от него.
Среди методов противодействия упоминаются:
- Изоляция контекста между агентами
- Валидация ввода/вывода
- A/B-тестирование
- Подтверждение действий пользователем
- Обнаружение подозрительных артефактов (URL)
однако, как мы знаем, митигационные меры не избавляют от риска, но снижают его уровень до низкого или среднего.
Ну что можно сказать?!
1. Promptware — практичная и опасная угроза, требующая срочного внимания, возможно, это новая область для систем обнаружения: мы научились находить SQL-инъкции, пора повышать уровень
2. Пока не видно вала публикаций на эту тему, как будто, индустрия пока не дооцениват риск атак на LLM-системы, а вендоры ИБ пока не осознали перспективность этого рынка
3. Если смотреть предлагаемые меры защиты, то можно обнаружить сходство с классикой: валидация пользовательского ввода, сегментация\изоляция, минимум полномочий и т.п. Соответственно, все эти меры надо сразу интегрировать в приложения, ибо навесная безопасность работает плохо, а это открывает новое важной и перспективное направление - безопасная архитектура LLM-систем, похожие эксперты упоминались здесь .
#ml #vCISO
Telegram
Солдатов в Телеграм
Когда AIOps становится AIУпс
Как только новая технология обретает популярность, сразу появляются техники атак на нее. Поэтому большое количество уязвимостей не всегда означает, что ПО дырявое ⡰⠤⡒ ⢤⠘⡡⡌⠨ ⠜⡃⡐ ⠴⠅⠍⠨⠅ ⢐⠣⡔⡘⠓ ⢁ ⠣⠩⢈⣄⣀⢘⡃⠴⠎⣀⡁, но точно, что оно - популярное.…
Как только новая технология обретает популярность, сразу появляются техники атак на нее. Поэтому большое количество уязвимостей не всегда означает, что ПО дырявое ⡰⠤⡒ ⢤⠘⡡⡌⠨ ⠜⡃⡐ ⠴⠅⠍⠨⠅ ⢐⠣⡔⡘⠓ ⢁ ⠣⠩⢈⣄⣀⢘⡃⠴⠎⣀⡁, но точно, что оно - популярное.…
👍6🔥3❤1
Машинное обучение в обнаружении
Есть масса применений машобуча в ИБ и нередко на маркетинговых мероприятиях можно услышать об успехах применения машинного обучения без учителя для обнаружения: есть некоторый движок, выполняющий профилирование, который затем выдает статистические отклонения. Проблема тут в том, что "статистическое отклонение" - это не всегда "инцидент", и окончательное решение принимает человек. Понятие инцидента - не простое, поэтому построить классификатор, который будет выдавать не статистическое отклонение, а инцидент невозможно без анализа обратной связи от пользователя(варианты решения этой задачи с помощью LLM пока не будем рассматривать, но и там проблем немало, ибо закономерность сохраняется: чем сложнее система, тем сложнее ей пользоваться ) . А это уже вопрос, решаемый в рамках машинного обучения с учителем, однако, в этом случае, для получения удовлетворительных результатов, нам нужны размеченные данные, типа, вот это статистическое отклонение - инцидент, а вот это статистическое отклонение - не инцидент. Кроме того, на практике нередки и false negative (пропуски), т.е. Модель надо подкрутить так, чтобы в сценариях прошлых промахов она, таки, выдавала статистическое отклонение, которое будет интерпретировано пользователем как инцидент. Чем размеченных данных будет больше, тем лучше, а если данных будем мало, построение такого классификатора под большим вопросом.
Таким образом, налицо двухходовочка:
- Unsupervised ML поможет найти статистическое отклонение - здесь будет много False positives, но практика показывает, что будут и False negative(собственно, этот объем False* и является основным аргументов скептиков относительно пригодности ML в ИБ вообще, сравнивающих ML-вердикты с выдачей ГПСЧ)
- Supervised ML теоретически можно обучить распознавать среди статистических отклонений инциденты, но в этом случае нужны большие размеченные данные, как например, в случае Автоаналитика
В нашем случае упомянутая двухходовочка для обнаружения горизонтальных перемещений в сети реализована одной Моделью без учителя. Но для поддержания удовлетворительного качества работы, все ее False* разбираются с участием аналитиков команды SOC, после чего Модель дорабатывается: начинает ловить прошлые пропуски и не генерить статистическое отклонение в определенных сценариях, не являющихся инцидентом.
Итого, нам всем нужно понимать:
1. Статистическое отклонение, выдаваемое Моделью без учителя - это еще не Инцидент
2. Для того, чтобы Модель научилась выдавать не статистические отклонения, а инциденты, обязательна обратная связь от пользователя, разметка данных пользователями
3. Чтобы обучить Модель на размеченных данных, их должно быть много
4. Нужно заниматься постоянным тюнингом Модели без учителя, выдающей статистические отклонения, чтобы она выдавала бизнес-значимые статистические отклонения, т.е. инциденты
5. В "коробочных" on prem решениях есть проблемы с получением обратной связи от пользователя и ее анализом, чтобы подстраивать и переобучать Модель, т.е. пп. 2-4 нереализуемы
В итоге получаем, что более-менее рабочим сценарием является портирование обученных моделей из облачных сервисов в on prem решения. Как, в частности, мы и сделаем с моделью обнаружения горизонтальных перемещений, которая из MDR когда-то станет доступна в KUMA. В этом случае постоянство качества Модели будет обеспечиваться ее постоянным тюнингом в рамках сервиса в предположении, что в пользовательской инфраструктуре демонстрируемые ею статистические отклонения будут интерпретировать как инциденты по тем же правилам, что и в MDR. Это очередная прекрасная демонстрация как правильно выкристаллизовывать облака в on prem, а никак не наоборот!
#MDR #vCISO #ml
Есть масса применений машобуча в ИБ и нередко на маркетинговых мероприятиях можно услышать об успехах применения машинного обучения без учителя для обнаружения: есть некоторый движок, выполняющий профилирование, который затем выдает статистические отклонения. Проблема тут в том, что "статистическое отклонение" - это не всегда "инцидент", и окончательное решение принимает человек. Понятие инцидента - не простое, поэтому построить классификатор, который будет выдавать не статистическое отклонение, а инцидент невозможно без анализа обратной связи от пользователя
Таким образом, налицо двухходовочка:
- Unsupervised ML поможет найти статистическое отклонение - здесь будет много False positives, но практика показывает, что будут и False negative
- Supervised ML теоретически можно обучить распознавать среди статистических отклонений инциденты, но в этом случае нужны большие размеченные данные, как например, в случае Автоаналитика
В нашем случае упомянутая двухходовочка для обнаружения горизонтальных перемещений в сети реализована одной Моделью без учителя. Но для поддержания удовлетворительного качества работы, все ее False* разбираются с участием аналитиков команды SOC, после чего Модель дорабатывается: начинает ловить прошлые пропуски и не генерить статистическое отклонение в определенных сценариях, не являющихся инцидентом.
Итого, нам всем нужно понимать:
1. Статистическое отклонение, выдаваемое Моделью без учителя - это еще не Инцидент
2. Для того, чтобы Модель научилась выдавать не статистические отклонения, а инциденты, обязательна обратная связь от пользователя, разметка данных пользователями
3. Чтобы обучить Модель на размеченных данных, их должно быть много
4. Нужно заниматься постоянным тюнингом Модели без учителя, выдающей статистические отклонения, чтобы она выдавала бизнес-значимые статистические отклонения, т.е. инциденты
5. В "коробочных" on prem решениях есть проблемы с получением обратной связи от пользователя и ее анализом, чтобы подстраивать и переобучать Модель, т.е. пп. 2-4 нереализуемы
В итоге получаем, что более-менее рабочим сценарием является портирование обученных моделей из облачных сервисов в on prem решения. Как, в частности, мы и сделаем с моделью обнаружения горизонтальных перемещений, которая из MDR когда-то станет доступна в KUMA. В этом случае постоянство качества Модели будет обеспечиваться ее постоянным тюнингом в рамках сервиса в предположении, что в пользовательской инфраструктуре демонстрируемые ею статистические отклонения будут интерпретировать как инциденты по тем же правилам, что и в MDR. Это очередная прекрасная демонстрация как правильно выкристаллизовывать облака в on prem, а никак не наоборот!
#MDR #vCISO #ml
Blogspot
Время материализовать облака
Мы рождены, чтоб сказку сделать былью ("Марш авиаторов", Герман-Хайт) Спешите порадоваться спуску с горы, ибо далее придется тащить на ...
👍6🔥2
Одним из элементов интерьера кофейни с лучшим кофе в Кисловодске "Мастерская кофе" являются лыжи.
Поначалу мне это казалось нелепостью, поскольку в Кисловодске снег обычно не лежит более одного дня, редкой зимой бывает до недели, но его глубины точно недостаточно для лыжных пробежек. Однако, по крайней мере в нашем доме, практически в каждой семье есть санки и снегокаты....
Однажды, после утренней пробежки, выполняя свой стандартный ритуал Большого Американо в Мастерской кофе в районе Центрального рынка, мне открылась вся глубина лыж и снегокатов в Кисловодске. Это - олицетворение очень трудно досягаемой цели, мечты, надежды, которая, несмотря на всю свою призрачность никогда не умирает и на протяжении всей нашей жизни продолжает согревать и мотивировать не сдаваться, не отпускать руки, ждать, надеяться и верить!
#пятница #здоровье
Поначалу мне это казалось нелепостью, поскольку в Кисловодске снег обычно не лежит более одного дня, редкой зимой бывает до недели, но его глубины точно недостаточно для лыжных пробежек. Однако, по крайней мере в нашем доме, практически в каждой семье есть санки и снегокаты....
Однажды, после утренней пробежки, выполняя свой стандартный ритуал Большого Американо в Мастерской кофе в районе Центрального рынка, мне открылась вся глубина лыж и снегокатов в Кисловодске. Это - олицетворение очень трудно досягаемой цели, мечты, надежды, которая, несмотря на всю свою призрачность никогда не умирает и на протяжении всей нашей жизни продолжает согревать и мотивировать не сдаваться, не отпускать руки, ждать, надеяться и верить!
#пятница #здоровье
😁8👍6❤3🔥1
Карл Брюллов. Рим - Москва - Петербург
Недопустимо жить в Москве и пропускать выставки!
Особенно это начинаешь ценить, когда живешь не в Москве. Но в прошлую субботу мне удалось добраться до Брюллова! Я в прямом смысле подарил себе праздник, что еще более удалось оценить на фоне ужасной осенней погоды с неопределенным дождем, напоминающим, скорее, водяную взвесь в воздухе и зонт здесь не спасение, ветром, превращающим дождь в горизонтальный, и грязно-серым небом. И в эту невыносимую осеннюю Москву ворвалась солнечная Италия, красивые итальянки в красивых красных одеждах... Эта праздничная, красивая, и, вместе с тем, глубокая и полная различных смыслов, живопись.
Прогуливаясь по залам выставки, будучи непрофессионалом, я пытался угадывать смыслы и подмечать сходства - об этом новый лонгрид.
#искусство
Недопустимо жить в Москве и пропускать выставки!
Особенно это начинаешь ценить, когда живешь не в Москве. Но в прошлую субботу мне удалось добраться до Брюллова! Я в прямом смысле подарил себе праздник, что еще более удалось оценить на фоне ужасной осенней погоды с неопределенным дождем, напоминающим, скорее, водяную взвесь в воздухе и зонт здесь не спасение, ветром, превращающим дождь в горизонтальный, и грязно-серым небом. И в эту невыносимую осеннюю Москву ворвалась солнечная Италия, красивые итальянки в красивых красных одеждах... Эта праздничная, красивая, и, вместе с тем, глубокая и полная различных смыслов, живопись.
Прогуливаясь по залам выставки, будучи непрофессионалом, я пытался угадывать смыслы и подмечать сходства - об этом новый лонгрид.
#искусство
👍11❤4🔥4
AI Agents vs. Prompt Injections
Мой приятель и замечательный человек Владислав Тушканов, руководитель группы исследований и разработки технологий машинного обучения (Центр исследования технологий искусственного интеллекта), человек, который внимательнейшим образом выслушивает все мои бредовые идеи по автоматизации нашей работы с использованием машобуча, с которым у нас длиннющий бэклог и громадье совместных планов, [... и много чего... еще] дает вебинар, подробности в канале у Влада.
#ml
Мой приятель и замечательный человек Владислав Тушканов, руководитель группы исследований и разработки технологий машинного обучения (Центр исследования технологий искусственного интеллекта), человек, который внимательнейшим образом выслушивает все мои бредовые идеи по автоматизации нашей работы с использованием машобуча, с которым у нас длиннющий бэклог и громадье совместных планов, [... и много чего... еще] дает вебинар, подробности в канале у Влада.
#ml
Telegram
llm security и каланы
Минута рекламы. Основная цель написания постов для меня – writing-to-learn: ты понимаешь, насколько хорошо ты разобрался в теме, только попробовав про нее написать. Последние недели я разбирался в свежих кейсах атак на агентов, потому что 7 октября в 17:00…
👍6
Первый вредоносный MCP-сервер в мире
А вот и вредоносные MCP поспели!
The Register
Dark Reading
Оригнальная публикация от KOI
Понятно, что не все что скачивается с Github безопасно, однако, в свете последних тенденций атака отдает новизной.
Как и ожидалось, новый слой абстрации, в данном случае MCP, расширяет поверхность атаки.
#ml #vCISO
А вот и вредоносные MCP поспели!
The Register
Dark Reading
Оригнальная публикация от KOI
Понятно, что не все что скачивается с Github безопасно, однако, в свете последних тенденций атака отдает новизной.
Как и ожидалось, новый слой абстрации, в данном случае MCP, расширяет поверхность атаки.
#ml #vCISO
www.koi.ai
First Malicious MCP in the Wild: The Postmark Backdoor That's Stealing Your Emails | Koi Blog
🔥2
Расписание против аналитика: когда график диктует ошибки
На PHD в 2023 году я немного коснулся темы метрик, используемых в нашем SOC. За годы работы мы накопили массу статистик и значений метрик, которые также можно анализировать и обнаруживать интересные и полезные зависимости, помимо стандартной задачи - предсказания загрузки команды в зависимости от объема. Отрадно, что молодому поколению аналитиков тема анализа тенденций в работе операционного подразделения также интересна как и мне, и мы имеем в некотором смысле продолжение моего достаточно общего доклада про метрики, но на сей раз от моего коллеги - Даниила Малий. Даниил взял не все собираемые нами показатели, а только те, что используются в KPI для оценки эффективности и результативности работы ребят, с фокусом именно на ошибки и попытался найти зависимости количества ошибок от режима работы аналитика при сменном графике и времени суток, от уже обработанного объема (от продолжительности работы в смене), от скорости расследования алертов и их критичности, и многого другого.
Формальное описание доклада:
Доклад был подан на SOC Forum (логично, ибо доклад про SOC, от аналитика SOC) , попал в секцию "ИБ и бизнес", но не прошел отбор. С одной стороны, немного жаль, что крутой (на мой субъективный взгляд) доклад не войдет в программу, а, с другой стороны, это должно означать, что в программу вошли еще более крутые докалды доклады! Ну, как минимум, в эту секцию. Поэтому, для себя я уже решил однозначно выделить время и посмотреть, надеюсь, запись будет.
Я тоже член Экспертного комитета, правда, в секциях "SOC-практикум", "Defence" и "Тренды и аналитика угроз", и мой выбор, моя оценка докладов - это отражение меня. Фактически, то, что попадет в программу характеризует экспертность Экспертного комитета, конечно же, с субъективной точки зрения зрителя.
Ах да, забыл, доклад Даниила Малий мы подали в итоге на Zero Nights, посмотрим, получится ли попасть в программу там. Если никуда не пройдет, запишем вебинар и поделимся им в этом канале :) Так сказать, сами себе оркестр 🤣
#MDR #vCISO
На PHD в 2023 году я немного коснулся темы метрик, используемых в нашем SOC. За годы работы мы накопили массу статистик и значений метрик, которые также можно анализировать и обнаруживать интересные и полезные зависимости, помимо стандартной задачи - предсказания загрузки команды в зависимости от объема. Отрадно, что молодому поколению аналитиков тема анализа тенденций в работе операционного подразделения также интересна как и мне, и мы имеем в некотором смысле продолжение моего достаточно общего доклада про метрики, но на сей раз от моего коллеги - Даниила Малий. Даниил взял не все собираемые нами показатели, а только те, что используются в KPI для оценки эффективности и результативности работы ребят, с фокусом именно на ошибки и попытался найти зависимости количества ошибок от режима работы аналитика при сменном графике и времени суток, от уже обработанного объема (от продолжительности работы в смене), от скорости расследования алертов и их критичности, и многого другого.
Формальное описание доклада:
Название: Расписание против аналитика: когда график диктует ошибки
Краткое описание: График работы напрямую влияет на то, как SOC-аналитики принимают решения. Ошибки распределяются неравномерно: они зависят от времени суток, сменности и даже от последовательности задач. Исследуя долгосрочные выгрузки, можно выявить чёткие закономерности и использовать их для оптимизации процессов.
Доклад был подан на SOC Forum (логично, ибо доклад про SOC, от аналитика SOC) , попал в секцию "ИБ и бизнес", но не прошел отбор. С одной стороны, немного жаль, что крутой (на мой субъективный взгляд) доклад не войдет в программу, а, с другой стороны, это должно означать, что в программу вошли еще более крутые докалды доклады! Ну, как минимум, в эту секцию. Поэтому, для себя я уже решил однозначно выделить время и посмотреть, надеюсь, запись будет.
Я тоже член Экспертного комитета, правда, в секциях "SOC-практикум", "Defence" и "Тренды и аналитика угроз", и мой выбор, моя оценка докладов - это отражение меня. Фактически, то, что попадет в программу характеризует экспертность Экспертного комитета, конечно же, с субъективной точки зрения зрителя.
Ах да, забыл, доклад Даниила Малий мы подали в итоге на Zero Nights, посмотрим, получится ли попасть в программу там. Если никуда не пройдет, запишем вебинар и поделимся им в этом канале :) Так сказать, сами себе оркестр 🤣
#MDR #vCISO
Telegram
Солдатов в Телеграм
Как обещал, скидываю слайды с PHD2023 . Доклад назывался "Metrics in Security Operations"
👍14🤣1
Когда все твои запросы на ресурсы безуспешны, создается ощущение собственной ненужности, неважности, бесполезности работы, опускаются руки и хочется уйти на пенсию...
Но как пели Томас и Дитер:
А на самом деле, ситуация ровно обратная и, тем более, не стоит рефлексировать и останавливаться!
Об этом рассуждал в новой статье.
#управление
Но как пели Томас и Дитер:
Baby, don't, don't give up
If your heart is broken make a brand new start
Baby, don't, don't give up
Count to ten, start again
А на самом деле, ситуация ровно обратная и, тем более, не стоит рефлексировать и останавливаться!
Об этом рассуждал в новой статье.
#управление
Дзен | Статьи
Лучшие
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Полюби нас чёрненькими, а беленькими нас всякий полюбит М.С.
🔥4
ENISA Threat Landscape 2025.pdf
4.6 MB
ENISA THREAT LANDSCAPE 2025
Агентство Европейского союза по кибербезопасности (ENISA) опубликовало отчет "Обзор угроз ENISA 2025". В отчете анализируется почти 4900 киберинцидентов, коснувшихся европейских организаций в период с июля 2024 года по июнь 2025 года.
Основные тенденции:
1. Фишинг — главный вектор атаки (60%): Остается основным методом первоначального проникновения. Эволюционирует за счет таких техник, как ClickFix, фишинг-as-a-service (PhaaS, например, Darcula), и квишинг (QR-код фишинг).
2. Цепочки поставок и доверительные отношения. Злоумышленники все чаще атакуют сторонних поставщиков услуг (IT-компании, Телекомы) и цепочки поставок (вредоносные пакеты npm, расширения браузеров) для усиления эффекта атак.
3. Атаки на мобильные устройства: угрозы для Android-устройств растут, включая шпионские программы (KoSpy, BoneSpy), банковские трояны (Medusa) и эксплуатацию уязвимостей в телекоммуникационной инфраструктуре (SS7, Diameter).
4. Конвергенция групп угроз: Стираются границы между хактивизмом, киберпреступностью и спонсируемыми государствами группировками.
5. Ожидаемое использование ИИ: ИИ активно используется для создания более убедительных фишинговых писем (более 80% фишинга используют ИИ), генерации качественных подделок (deepfakes), разработки вредоносного ПО и обхода обнаружения. Также наблюдаются атаки на сам ИИ - джейлбрейки, отравление модели и атаки на цепочку поставок моделей ИИ.
Чаще всего ломают:
- Государственное управление - 38,2%
- Транспорт - 7,5%
- Цифровая инфраструктура и услуги - 4,8%
- Финансы - 4,5%
- Производство - 2,9%
Основные типы угроз:
1. Киберпреступность - 13,4% инцидентов
2. Государственные группы - 7,2%
3. Хактивизм - 79%
4. Манипулирование информацией (Foreign information manipulation and interference, FIMI) - остальное
Оригинальная ссылка на документ
Суммаризацию можно также почитать здесь:
State-aligned cyber threats against EU intensify, ENISA warns
Many Attacks Aimed at EU Targeted OT, Says Cybersecurity Agency
#MDR #vCISO
Агентство Европейского союза по кибербезопасности (ENISA) опубликовало отчет "Обзор угроз ENISA 2025". В отчете анализируется почти 4900 киберинцидентов, коснувшихся европейских организаций в период с июля 2024 года по июнь 2025 года.
Основные тенденции:
1. Фишинг — главный вектор атаки (60%): Остается основным методом первоначального проникновения. Эволюционирует за счет таких техник, как ClickFix, фишинг-as-a-service (PhaaS, например, Darcula), и квишинг (QR-код фишинг).
2. Цепочки поставок и доверительные отношения. Злоумышленники все чаще атакуют сторонних поставщиков услуг (IT-компании, Телекомы) и цепочки поставок (вредоносные пакеты npm, расширения браузеров) для усиления эффекта атак.
3. Атаки на мобильные устройства: угрозы для Android-устройств растут, включая шпионские программы (KoSpy, BoneSpy), банковские трояны (Medusa) и эксплуатацию уязвимостей в телекоммуникационной инфраструктуре (SS7, Diameter).
4. Конвергенция групп угроз: Стираются границы между хактивизмом, киберпреступностью и спонсируемыми государствами группировками.
5. Ожидаемое использование ИИ: ИИ активно используется для создания более убедительных фишинговых писем (более 80% фишинга используют ИИ), генерации качественных подделок (deepfakes), разработки вредоносного ПО и обхода обнаружения. Также наблюдаются атаки на сам ИИ - джейлбрейки, отравление модели и атаки на цепочку поставок моделей ИИ.
Чаще всего ломают:
- Государственное управление - 38,2%
- Транспорт - 7,5%
- Цифровая инфраструктура и услуги - 4,8%
- Финансы - 4,5%
- Производство - 2,9%
Основные типы угроз:
1. Киберпреступность - 13,4% инцидентов
2. Государственные группы - 7,2%
3. Хактивизм - 79%
4. Манипулирование информацией (Foreign information manipulation and interference, FIMI) - остальное
Оригинальная ссылка на документ
Суммаризацию можно также почитать здесь:
State-aligned cyber threats against EU intensify, ENISA warns
Many Attacks Aimed at EU Targeted OT, Says Cybersecurity Agency
#MDR #vCISO
👍8
В продолжении темы DLL-Hijacking, спешу поделиться статьей по теме, для тех, кто не хочет смотреть видео (или здесь)
Также интересный материал от коллег, но уже более прикладной.
#ml #MDR
Также интересный материал от коллег, но уже более прикладной.
#ml #MDR
securelist.ru
Разработка модели машинного обучения для детектирования DLL Hijacking
Эксперт центра экспертизы AI «Лаборатории Касперского» рассказывает, как разрабатывали модель машинного обучения, выявляющую атаки типа DLL Hijacking.
🔥5
State of Cybersecurity 2025: Глобальный обзор ISACA
Опубликован ежегодный отчет ISACA, основанный на опросе 3800+ киберспециалистов по всему миру. Кратко прескажу о чем там. Кстати, сама же ISACA выпустила дайджест, который можно быстро просмотреть, если нет возможности читать весь отчет. И отчет и дайджест прикладываю.
Кадровый вопрос
- Критическая нехватка: 55% команд не укомплектованы. Хуже всего ситуация в компаниях среднего размера (500-4999 сотрудников).
- Долгий найм: Заполнение вакансий среднего и высшего уровня занимает 3-6 месяцев (39%) или даже больше полугода (25%).
- Новый идеальный кандидат: Адаптивность (61%) впервые обогнала практический опыт (60%) как главный критерий при найме. Компании ищут гибких, бысто адаптирующихся, быстро обучающихся специалистов, а не просто готовых технических экспертов.
- Стресс и выгорание: 66% специалистов считают свою работу более стрессовой, чем 5 лет назад. Главные причины:
-- Усложнение угроз (63%).
-- Завышенные ожидания и объем работы (50%).
-- Дисбаланс между работой и личной жизнью (50%).
- Парадокс удержания: Несмотря на стресс, только 50% компаний испытывают трудности с удержанием персонала — это самый низкий показатель с 2020 года ("Эра Большого Удержания"). Люди уходят из-за высокого стресса, ограниченных возможностей для роста и, кто бы сомневался, предложений от других компаний.
- Сокращение льгот: Работодатели сокращают инвестиции в сотрудников: оплата сертификатов упала на 11 п.п. (с 65% до 54%), компенсация обучения — на 5 п.п.
Тревожные тенденции
- Старение персонала: Самая большая возрастная группа - 45-54 года (35%), а молодежи (до 35 лет) становится меньше. Надвигается кризис преемственности и нехватки опытных руководителей.
- Растущий разрыв в навыках:
-- Софт-скиллы — главный пробел (59%, +8 п.п.). На первом месте: критическое мышление (57%), коммуникация (56%), решение проблем (47%).
-- Технические навыки: Самые большие пробелы — облачные вычисления (37%), безопасность данных (33%), LLM SecOps (33%).
- Слабая подготовка новичков: Только 27% опрошенных согласны, что выпускники вузов готовы к работе. Основные пробелы у джунов: реагирование на инциденты, безопасность данных, обнаружение угроз.
Операционка и бюджетирование
- Бюджетный пессимизм: Лишь 41% ждут роста бюджетов (в 2024 было 47%, -6 п.п.). 18% прогнозируют сокращение.
- Поддержка совета директоров — ключевой фактор успеха: Там, где Совет адекватно приоритезирует инвестиции в кибербезопасность (56%):
-- на 95% выше вероятность, что стратегия безопасности совпадает с бизнес-целями.
-- Команды чувствуют себя увереннее (56% против 21%).
-- Бюджеты реже считают недостаточными (35% против 74%).
-- Лучше удерживают персонал (48% против 64%).
- Оценка рисков: 11% компаний проводят ее ежемесячно (+3 п.п.). Главные препятствия: нехватка времени (35%) и персонала (30%).
Риски и угрозы
- Рост атак: 35% компаний сообщают о росте числа кибератак (небольшое снижение в сравнении с 2024).
- Основные векторы атак: Социальная инженерия (44%), уязвимости (37%), вредоносное ПО и инсайдеры (по 26%).
- Низкая уверенность: Лишь 41% полностью или очень уверены в способности своей команды обнаруживать и реагировать на угрозы.
- Проблема недостаточной отчетности: 56% респондентов считают, что компании замалчивают киберинциденты.
Искусственный интеллект
- ИИ в защите: Растет использование ИИ для автоматизации обнаружения угроз (32%), защиты конечных точек (30%) и облегчения рутинных задач (28%).
- Безопасники подключаются: активно участвуют в жизненном цикле ИИ:
-- 40% (+11 п.п.) вовлечены в разработку и внедрение ИИ-решений.
-- 47% (+12 п.п.) участвуют в создании политик использования ИИ.
- ИИ и зрелость: компании, не проводящие оценку рисков, в 44% случаев не используют ИИ для безопасности, что говорит о взвешенном подходе к новым рискам.
Опубликован ежегодный отчет ISACA, основанный на опросе 3800+ киберспециалистов по всему миру. Кратко прескажу о чем там. Кстати, сама же ISACA выпустила дайджест, который можно быстро просмотреть, если нет возможности читать весь отчет. И отчет и дайджест прикладываю.
Кадровый вопрос
- Критическая нехватка: 55% команд не укомплектованы. Хуже всего ситуация в компаниях среднего размера (500-4999 сотрудников).
- Долгий найм: Заполнение вакансий среднего и высшего уровня занимает 3-6 месяцев (39%) или даже больше полугода (25%).
- Новый идеальный кандидат: Адаптивность (61%) впервые обогнала практический опыт (60%) как главный критерий при найме. Компании ищут гибких, бысто адаптирующихся, быстро обучающихся специалистов, а не просто готовых технических экспертов.
- Стресс и выгорание: 66% специалистов считают свою работу более стрессовой, чем 5 лет назад. Главные причины:
-- Усложнение угроз (63%).
-- Завышенные ожидания и объем работы (50%).
-- Дисбаланс между работой и личной жизнью (50%).
- Парадокс удержания: Несмотря на стресс, только 50% компаний испытывают трудности с удержанием персонала — это самый низкий показатель с 2020 года ("Эра Большого Удержания"). Люди уходят из-за высокого стресса, ограниченных возможностей для роста и, кто бы сомневался, предложений от других компаний.
- Сокращение льгот: Работодатели сокращают инвестиции в сотрудников: оплата сертификатов упала на 11 п.п. (с 65% до 54%), компенсация обучения — на 5 п.п.
Тревожные тенденции
- Старение персонала: Самая большая возрастная группа - 45-54 года (35%), а молодежи (до 35 лет) становится меньше. Надвигается кризис преемственности и нехватки опытных руководителей.
- Растущий разрыв в навыках:
-- Софт-скиллы — главный пробел (59%, +8 п.п.). На первом месте: критическое мышление (57%), коммуникация (56%), решение проблем (47%).
-- Технические навыки: Самые большие пробелы — облачные вычисления (37%), безопасность данных (33%), LLM SecOps (33%).
- Слабая подготовка новичков: Только 27% опрошенных согласны, что выпускники вузов готовы к работе. Основные пробелы у джунов: реагирование на инциденты, безопасность данных, обнаружение угроз.
Операционка и бюджетирование
- Бюджетный пессимизм: Лишь 41% ждут роста бюджетов (в 2024 было 47%, -6 п.п.). 18% прогнозируют сокращение.
- Поддержка совета директоров — ключевой фактор успеха: Там, где Совет адекватно приоритезирует инвестиции в кибербезопасность (56%):
-- на 95% выше вероятность, что стратегия безопасности совпадает с бизнес-целями.
-- Команды чувствуют себя увереннее (56% против 21%).
-- Бюджеты реже считают недостаточными (35% против 74%).
-- Лучше удерживают персонал (48% против 64%).
- Оценка рисков: 11% компаний проводят ее ежемесячно (+3 п.п.). Главные препятствия: нехватка времени (35%) и персонала (30%).
Риски и угрозы
- Рост атак: 35% компаний сообщают о росте числа кибератак (небольшое снижение в сравнении с 2024).
- Основные векторы атак: Социальная инженерия (44%), уязвимости (37%), вредоносное ПО и инсайдеры (по 26%).
- Низкая уверенность: Лишь 41% полностью или очень уверены в способности своей команды обнаруживать и реагировать на угрозы.
- Проблема недостаточной отчетности: 56% респондентов считают, что компании замалчивают киберинциденты.
Искусственный интеллект
- ИИ в защите: Растет использование ИИ для автоматизации обнаружения угроз (32%), защиты конечных точек (30%) и облегчения рутинных задач (28%).
- Безопасники подключаются: активно участвуют в жизненном цикле ИИ:
-- 40% (+11 п.п.) вовлечены в разработку и внедрение ИИ-решений.
-- 47% (+12 п.п.) участвуют в создании политик использования ИИ.
- ИИ и зрелость: компании, не проводящие оценку рисков, в 44% случаев не используют ИИ для безопасности, что говорит о взвешенном подходе к новым рискам.
🔥4👍2💯1
Выводы и рекомендации
- Инвестируйте в адаптивность и софт-скиллы, технических знаний уже недостаточно.
- Начните планирование преемственности работников сейчас, стареющая рабочая сила — это бомба замедленного действия.
- Боритесь с выгоранием. Гибкий график и перераспределение нагрузки — обязательное условие, а не опция.
- Вовлекайте безопасников во все инициативы, связанные с ИИ, так как без их участия безопасность ИИ-проектов под угрозой.
- Работайте с советом директоров. Умение донести ценность кибербезопасности на языке бизнеса — критически важный навык для лидеров.
- Будущее за гибкими, хорошо коммуницирующими командами, которые действуют как стратегические партнеры бизнеса в эпоху ИИ и неопределенности.
#vCISO
- Инвестируйте в адаптивность и софт-скиллы, технических знаний уже недостаточно.
- Начните планирование преемственности работников сейчас, стареющая рабочая сила — это бомба замедленного действия.
- Боритесь с выгоранием. Гибкий график и перераспределение нагрузки — обязательное условие, а не опция.
- Вовлекайте безопасников во все инициативы, связанные с ИИ, так как без их участия безопасность ИИ-проектов под угрозой.
- Работайте с советом директоров. Умение донести ценность кибербезопасности на языке бизнеса — критически важный навык для лидеров.
- Будущее за гибкими, хорошо коммуницирующими командами, которые действуют как стратегические партнеры бизнеса в эпоху ИИ и неопределенности.
#vCISO
🔥6👍2❤🔥1
п. Котел 3-4 к.с.
В отличие от п. Яма п. Котел выглядит жутковато.
В районе порога река зажата скалистыми берегами, на момент нашего путешествия вода была невысокая, поэтому справа русло забито камнями и непроходимо для нашего К4, но для каяка такая возможность есть - это было подтверждено на практике одним из участников нашей экспедиции. В левой части русла расположен мощный дугообразный слив высотой около 2 м, образующий мощную бочку - котел. За счет дугообразной геометрии котла бочка образуется сливами с трех сторон, что создает мощные противотоки внутри котла - в общем, падать в эту бочку нет никакого желания, да и геометрия дна не просматривается, там вполне могут быть острые камни (один из них явно виден прямо посередине).
Просматривать порог следует с ЛБ, а на подходе к нему от удобного причала можно встретить много образцов народного творчества, вроде музыкального инструмента из обломков рам катов и множества табличек с названиями городов туристов - от Чикаго и Штутгарта до Южно-Сахалинска и Владивостока.
Проходили п. Котел вплотную к ЛБ, все прошло по плану, опасность упасть в котел нас миновала, хотя риск такой был, и, по-моему, часть правого баллона свисала (я сидел на левом, поэтому не уверен). Пассажир, конечно же, шел берегом.
#здоровье
В отличие от п. Яма п. Котел выглядит жутковато.
В районе порога река зажата скалистыми берегами, на момент нашего путешествия вода была невысокая, поэтому справа русло забито камнями и непроходимо для нашего К4, но для каяка такая возможность есть - это было подтверждено на практике одним из участников нашей экспедиции. В левой части русла расположен мощный дугообразный слив высотой около 2 м, образующий мощную бочку - котел. За счет дугообразной геометрии котла бочка образуется сливами с трех сторон, что создает мощные противотоки внутри котла - в общем, падать в эту бочку нет никакого желания, да и геометрия дна не просматривается, там вполне могут быть острые камни (один из них явно виден прямо посередине).
Просматривать порог следует с ЛБ, а на подходе к нему от удобного причала можно встретить много образцов народного творчества, вроде музыкального инструмента из обломков рам катов и множества табличек с названиями городов туристов - от Чикаго и Штутгарта до Южно-Сахалинска и Владивостока.
Проходили п. Котел вплотную к ЛБ, все прошло по плану, опасность упасть в котел нас миновала, хотя риск такой был, и, по-моему, часть правого баллона свисала (я сидел на левом, поэтому не уверен). Пассажир, конечно же, шел берегом.
#здоровье
🔥5😱1
The Forrester Wave™_ Managed Detection And Response S.pdf
2.3 MB
Forrester об MDR
(вложение, reprint)
Я стараюсь почитывать подобные публикации от аналитических агенств, чтобы понимать современные тенденции, анализировать адекватность своего решения и, возможно, корректировать наш бесконечный бэклог.
Forrester пишет, что MDR - это еще не прошлое и что он продолжает эволюционировать, и если раньше провайдеры больше фокусировались (и мерились этим) на реагировании, то сегодня мы должны быть максимально проактивными и нести доказательную бизнес-пользу для корпоративной безопасности:
Вот на что стоит обращать внимание при выборе MDR-услуг в 2025 году:
1. Detection as Code — основа масштабирования
Скорость и качество обнаружения угроз теперь определяются подходом "обнаружение как код" (Detection as Code), что означает:
- Использование программных методов для создания и развёртывания детекторов
- Автоматизированное тестирование для повышения точности и снижения "шума"
- Возможность быстро адаптироваться к новым тактикам злоумышленников
Примеры: Red Canary, CrowdStrike.
2. Улучшение корпоративной безопасности (Security Posture) - новая задача MDR
Клиенты ожидают, что MDR-провайдеры будут не только искать угрозы, но и помогать улучшать корпоративную ИБ:
- Обнаружение проблемных мест в ИБ
- Максимальная контекстная адаптация под технологический стек, индустрию, регион заказчика и предоставление бенчмаркинг для возможности сравнения (а, может, и самосравнения)
- Предоставление рекомендаций по улучшению программ корпоративной ИБ
Примеры: eSentire, Arctic Wolf.
3. Генеративный ИИ: выгода не только для провайдера, но и для заказчика
Провайдеры активно внедряют GenAI для повышения эффективности своей работы, но важно понимать: транслирует ли провайдер выгоду от ИИ клиентам, например, в виде улучшенных процессов или снижения стоимости, или просто MDR становится более маржинальным. Если честно, мне удивительно видеть намеки от глобального агенства, что автоматизация (ИИ - это именно автоматизация!) должна снижать стоимость😂
Пример: ReliaQuest (использует ИИ-агенты).
4. Широта покрытия (Detection Surface)
Современный провайдер должен обнаруживать угрозы не только на эндпоинтах, но и: в облачных средах, контролировать идентификационные данные (Identity), собирать данные из множества источников, ну, видимо, как минимум, из сети (упоминается XDR)
Пример: CrowdStrike, Expel.
5. Опыт, экспертность аналитиков, их глубокое понимание особенностей, контекста, клиента, а также прозрачность, точнее, проверямость предоставляемых данных в отчетности.
6. Экосистемность и гибкость. Здесь имеется в виду возможность интеграции MDR с используемом у заказчика стеком технологий.
7. Гибкость ценообразования и комплектации услуг (например, Falcon Flex от CrowdStrike).
Лидеры (Leaders): Expel, CrowdStrike, Red Canary.
Сильные игроки (Strong performers): ReliaQuest, Binary Defense, eSentire.
Претенденты (Contenders): Arctic Wolf, Secureworks, SentinelOne, Rapid7.
Итого: Современный MDR-провайдер должен обладать не только превосходными возможностями по обнаружению угроз, но вносить значительный вклад в усовершенствование корпоративной системы управления ИБ.
#MDR #vCISO
(вложение, reprint)
Я стараюсь почитывать подобные публикации от аналитических агенств, чтобы понимать современные тенденции, анализировать адекватность своего решения и, возможно, корректировать наш бесконечный бэклог.
Forrester пишет, что MDR - это еще не прошлое и что он продолжает эволюционировать, и если раньше провайдеры больше фокусировались (и мерились этим) на реагировании, то сегодня мы должны быть максимально проактивными и нести доказательную бизнес-пользу для корпоративной безопасности:
An MDR provider’s ability to positively influence the security of its customers now matters as much as its ability to find threats
Вот на что стоит обращать внимание при выборе MDR-услуг в 2025 году:
1. Detection as Code — основа масштабирования
Скорость и качество обнаружения угроз теперь определяются подходом "обнаружение как код" (Detection as Code), что означает:
- Использование программных методов для создания и развёртывания детекторов
- Автоматизированное тестирование для повышения точности и снижения "шума"
- Возможность быстро адаптироваться к новым тактикам злоумышленников
Примеры: Red Canary, CrowdStrike.
2. Улучшение корпоративной безопасности (Security Posture) - новая задача MDR
Клиенты ожидают, что MDR-провайдеры будут не только искать угрозы, но и помогать улучшать корпоративную ИБ:
- Обнаружение проблемных мест в ИБ
- Максимальная контекстная адаптация под технологический стек, индустрию, регион заказчика и предоставление бенчмаркинг для возможности сравнения (а, может, и самосравнения)
- Предоставление рекомендаций по улучшению программ корпоративной ИБ
Примеры: eSentire, Arctic Wolf.
3. Генеративный ИИ: выгода не только для провайдера, но и для заказчика
Провайдеры активно внедряют GenAI для повышения эффективности своей работы, но важно понимать: транслирует ли провайдер выгоду от ИИ клиентам, например, в виде улучшенных процессов или снижения стоимости, или просто MDR становится более маржинальным. Если честно, мне удивительно видеть намеки от глобального агенства, что автоматизация (ИИ - это именно автоматизация!) должна снижать стоимость😂
Пример: ReliaQuest (использует ИИ-агенты).
4. Широта покрытия (Detection Surface)
Современный провайдер должен обнаруживать угрозы не только на эндпоинтах, но и: в облачных средах, контролировать идентификационные данные (Identity), собирать данные из множества источников, ну, видимо, как минимум, из сети (упоминается XDR)
Пример: CrowdStrike, Expel.
5. Опыт, экспертность аналитиков, их глубокое понимание особенностей, контекста, клиента, а также прозрачность, точнее, проверямость предоставляемых данных в отчетности.
6. Экосистемность и гибкость. Здесь имеется в виду возможность интеграции MDR с используемом у заказчика стеком технологий.
7. Гибкость ценообразования и комплектации услуг (например, Falcon Flex от CrowdStrike).
Лидеры (Leaders): Expel, CrowdStrike, Red Canary.
Сильные игроки (Strong performers): ReliaQuest, Binary Defense, eSentire.
Претенденты (Contenders): Arctic Wolf, Secureworks, SentinelOne, Rapid7.
Итого: Современный MDR-провайдер должен обладать не только превосходными возможностями по обнаружению угроз, но вносить значительный вклад в усовершенствование корпоративной системы управления ИБ.
#MDR #vCISO
🔥6👍3
Как эффективно управлять инцидентами ИБ?
21.10.2025 в 11:00 MSK
Зарегистрироваться!
Безопасность - это процесс, операционный процесс обеспечения уровня ИБ. Можно много говорить о необходимости проактивных подходов к управлению ИБ, и даже стремиться интегрировать проактивность в операционные сервисы, управлять поверхностью атаки и вообще заниматься анализом рисков, однако, в Darkest hour рядом должны оказаться профессионалы, которые спасут ситуацию. Управление инцидентами - базовый процесс операционной безопасности и в предстоящем стриме 21.10.2025 в 11:00 MSK о нем будут рассуждать самые что ни на есть истинные практики, мои замечательные коллеги, чьим знакомством я горжусь, - Вадим Нерсесов и Сергей Голованов.
Вадим - руководитель операционной команды анатиков, отвечающей за delivery MDR, чья команда каждый день обнаруживает инциденты по всему миру. Благодаря усилиям команды Вадима инциденты не доходят до этапа ущерба корпоративным бизнес-процессам (поэтому статистика инцидентов MDR сильно отличается от статистик инцидентов, построенных, например, на данных проектов по реагировнию на инциденты, DFIR, - но об этом поговорим в другой раз) , поэтому предприятия заказчиков продолжают работать в штатном режиме.
Сергей - абсолютный практик в DFIR, на счету которого тысячи интереснейших кейсов, и, уверен, не нуждается в дополнительном представлении, да мне и не хватит одной заметки, чтобы более-менее полно описать биографию Сережи.
Замечу еще, что сочетание спикеров позволит прекрасно раскрыть тему с разных сторон, так как если команды заказчика и Вадима успешно работают, то инцидент удается своевременно обнаружить и предотвратить развитие, а до участия Сергея, как правило, не доходит. А с другой стороны, если Сергей привлекается, то ситуация уже запущена настолько, что инструментальное реагирование MDR не будет достаточно результативным.
Подключайтесь на стрим, будет интересно!
#vCISO #MDR
21.10.2025 в 11:00 MSK
Зарегистрироваться!
Безопасность - это процесс, операционный процесс обеспечения уровня ИБ. Можно много говорить о необходимости проактивных подходов к управлению ИБ, и даже стремиться интегрировать проактивность в операционные сервисы, управлять поверхностью атаки и вообще заниматься анализом рисков, однако, в Darkest hour рядом должны оказаться профессионалы, которые спасут ситуацию. Управление инцидентами - базовый процесс операционной безопасности и в предстоящем стриме 21.10.2025 в 11:00 MSK о нем будут рассуждать самые что ни на есть истинные практики, мои замечательные коллеги, чьим знакомством я горжусь, - Вадим Нерсесов и Сергей Голованов.
Вадим - руководитель операционной команды анатиков, отвечающей за delivery MDR, чья команда каждый день обнаруживает инциденты по всему миру. Благодаря усилиям команды Вадима инциденты не доходят до этапа ущерба корпоративным бизнес-процессам
Сергей - абсолютный практик в DFIR, на счету которого тысячи интереснейших кейсов, и, уверен, не нуждается в дополнительном представлении, да мне и не хватит одной заметки, чтобы более-менее полно описать биографию Сережи.
Замечу еще, что сочетание спикеров позволит прекрасно раскрыть тему с разных сторон, так как если команды заказчика и Вадима успешно работают, то инцидент удается своевременно обнаружить и предотвратить развитие, а до участия Сергея, как правило, не доходит. А с другой стороны, если Сергей привлекается, то ситуация уже запущена настолько, что инструментальное реагирование MDR не будет достаточно результативным.
Подключайтесь на стрим, будет интересно!
#vCISO #MDR
🔥4👍3❤🔥1